Generische USB-Umleitung und Clientlaufwerke

HDX-Technologie bietet optimierte Unterstützung für die gebräuchlichsten USB-Geräte. Die optimierte Unterstützung bietet eine verbesserte Benutzererfahrung, Leistung und Bandbreiteneffizienz über ein WAN. Die optimierte Unterstützung ist normalerweise, insbesondere aber in Umgebungen mit hoher Latenz oder hohen Sicherheitsanforderungen, die beste Option.

HDX-Technologie bietet generische USB-Umleitung für Spezialgeräte ohne optimierte Unterstützung oder wenn diese ungeeignet ist. Beispiele:

  • Ein USB-Gerät hat Merkmale, die nicht von der optimierten Unterstützung abgedeckt werden, z. B. eine Maus oder Webcam mit zusätzlichen Tasten.
  • Benutzer benötigen Funktionen, die nicht von der optimierten Unterstützung abgedeckt werden, z. B. das Brennen von CDs.
  • Bei dem USB-Gerät handelt es sich um ein Spezialgerät, z. B. ein Test- oder Messgerät oder ein industrielles Steuergerät.
  • Eine Anwendung erfordert direkten Zugriff auf das Gerät als USB-Gerät.
  • Für das USB-Gerät gibt es nur einen Windows-Treiber. Ein Smartcardleser kann beispielsweise keinen Treiber für die Citrix Workspace-App für Android haben.
  • Die Version der Citrix Workspace-App bietet keine optimierte Unterstützung für solche USB-Geräte.

Vorteile von generischer USB-Umleitung:

  • Benutzer müssen keine Gerätetreiber auf den Benutzergeräten installieren.
  • USB-Clienttreiber werden auf der VDA-Maschine installiert.

Hinweis

  • Die generische USB-Umleitung kann zusammen mit der optimierten Unterstützung verwendet werden. Wenn Sie die generische USB-Umleitung aktivieren, konfigurieren Sie Einstellungen für die Citrix Richtlinie “USB-Geräte” für die generische USB-Umleitung und für die optimierte Unterstützung.
  • Die Citrix Richtlinieneinstellung Regeln für die USB-Clientgeräteoptimierung ist eine spezifische Einstellung für die generische USB-Umleitung für ein bestimmtes USB-Gerät. Es gilt nicht für die hier beschriebene optimierte Unterstützung.

Überlegungen zur Leistung für USB-Geräte

Bei Verwendung der generischen Umleitung bestimmter USB-Gerätetypen können sich Netzwerklatenz und Bandbreite auf die Benutzererfahrung und den USB-Gerätebetrieb auswirken. Die Funktion zeitempfindlicher Geräte kann beispielsweise bei geringer Bandbreite und hoher Latenz gestört werden. Verwenden Sie, falls möglich, stattdessen die optimierte Unterstützung.

Einige Geräte erfordern eine hohe Bandbreite, z. B. 3D-Mäuse (die mit bandbreitenintensiven 3D-Anwendungen verwendet werden). Kann die Bandbreite nicht erhöht werden, können Sie evtl. die Bandbreitennutzung anderer Komponenten über die Einstellung der Bandbreitenrichtlinie anpassen. Weitere Informationen finden Sie unter Einstellungen der Richtlinie “Bandbreite” für die Client-USB-Geräteumleitung und unter Einstellungen der Richtlinie “Multistreamverbindungen”.

Überlegungen zur Sicherheit für USB-Geräte

Einige USB-Geräte sind von Haus aus sicherheitsempfindlich, z. B. Smartcardleser, Fingerabdruckleser und Signatur-Tablets. Andere, etwa USB-Speichergeräte, können zur Übertragung vertraulicher Daten verwendet werden.

USB-Geräte werden häufig zur Verbreitung von Schadsoftware verwendet. Über die Konfiguration der Citrix Workspace-App und von Citrix Virtual Apps and Desktops können entsprechende Sicherheitsrisiken vermindert, jedoch nicht eliminiert werden Dies gilt sowohl für die generische USB-Umleitung als auch für die optimierte Unterstützung.

Wichtig

Verwenden Sie für sicherheitsempfindliche Geräte und Daten immer sichere HDX-Verbindungen mit TLS oder IPsec.

Aktivieren Sie nur Unterstützung für USB-Geräte, die Sie benötigen. Konfigurieren Sie die generische USB-Umleitung und die optimierte Unterstützung für diese Anforderungen.

Informieren Sie die Benutzer über die sichere Verwendung von USB-Geräten:

  • Nur USB-Geräte verwenden, die von einer vertrauenswürdigen Quelle stammen.
  • USB-Geräte in zugänglichen Umgebungen (z. B. Internetcafé) nicht unbeaufsichtigt lassen.
  • Erläutern Sie die Risiken der Verwendung eines USB-Geräts auf mehreren Computern.

Kompatibilität mit der generischen USB-Umleitung

Die generische USB-Umleitung unterstützt USB 2.0- und ältere Geräte. Die generische USB-Umleitung unterstützt außerdem USB 3.0-Geräte, wenn diese an einem USB 2.0- oder USB 3.0-Anschluss angeschlossen sind. Die generische USB-Umleitung bietet keine Unterstützung für USB-Features wie Super Speed, die mit USB 3.0 eingeführt wurden.

Folgende Citrix Workspace-App-Versionen unterstützen die generische USB-Umleitung:

Informationen zu den Citrix Workspace-App-Versionen finden Sie unter Citrix Workspace-App-Featurematrix.

Wenn Sie eine ältere Citrix Workspace-App-Version verwenden, konsultieren Sie die zugehörige Dokumentation zur Unterstützung der generischen USB-Umleitung. Die Dokumentation zur Citrix Workspace-App enthält Informationen zu jeglichen Einschränkungen für unterstützte USB-Gerätetypen.

Die generische USB-Umleitung unterstützt Desktopsitzungen mit VDAs für Desktopbetriebssysteme ab Version 7.6 bis zur aktuellen Version.

Die generische USB-Umleitung unterstützt Desktopsitzungen mit VDAs für Serverbetriebssysteme ab Version 7.6 bis zur aktuellen Version unter folgenden Bedingungen:

  • Der VDA muss unter Windows Server 2012 R2 oder Windows Server 2016 ausgeführt werden.
  • Es werden nur Single-Hop-Szenarios unterstützt Die generische Double-Hop-USB-Umleitung wird bei Sitzungen mit über Desktop gehosteten Anwendungen nicht unterstützt.
  • Der USB-Gerätetreiber muss mit dem Remotedesktop-Sitzungshost für das Betriebssystem des VDAs (Windows 2012 R2) einschließlich voller Virtualisierung kompatibel sein.

Einige USB-Gerätetypen werden nicht von der generischen USB-Umleitung unterstützt, da ihre Umleitung nicht nützlich wäre:

  • USB-Modems
  • USB-Netzwerkadapter
  • USB-Hubs. Mit USB-Hubs verbundene USB-Geräte werden separat behandelt.
  • Virtuelle USB-COM-Anschlüsse. Verwenden Sie hierfür statt der generischen USB-Umleitung die COM-Anschlussumleitung.

Weitere Informationen zu USB-Geräten, für die die generische USB-Umleitung getestet wurde, finden Sie unter Citrix Ready Marketplace. Einige USB-Geräte funktionieren bei generischer USB-Umleitung nicht einwandfrei.

Konfigurieren der generischen USB-Umleitung

Sie können festlegen, für welche USB-Gerätetypen die generische USB-Umleitung verwendet werden soll, und sie separat für die einzelnen Gerätetypen konfigurieren.

  • Auf dem VDA mit Citrix Richtlinieneinstellungen. Weitere Informationen finden Sie unter Umleitung von Clientlaufwerken und Benutzergeräten und Einstellungen der Richtlinie “USB-Geräte”.
  • In der Citrix Workspace-App über Citrix Workspace-App-abhängige Mechanismen. Die Citrix Workspace-App für Windows hat beispielsweise Registrierungseinstellungen, die über eine administrative Vorlage gesteuert werden können. Standardmäßig ist die USB-Umleitung für bestimmte Klassen von USB-Geräten zulässig bzw. nicht zulässig. Weitere Informationen finden Sie in der Dokumentation zu Ihrer Version der Citrix Workspace-App für Windows unter Konfigurieren von Features und Funktionen.

Diese separate Konfiguration ist flexibler. Beispiel:

  • Wenn zwei verschiedene Abteilungen für die Citrix Workspace-App und den VDA verantwortlich sind, können sie eigene Vorgaben festlegen. Diese gelten dann, wenn ein Benutzer in einer Abteilung auf eine Anwendung in einer anderen Abteilung zugreift.
  • Citrix Richtlinieneinstellungen steuern USB-Geräte, die nur für bestimmte Benutzer oder nur für Benutzer, die eine Verbindung über das LAN anstelle von Citrix Gateway herstellen, zugelassen werden sollen.

Aktivieren der generischen USB-Umleitung

Um die generische USB-Umleitung zu aktivieren (= keine manuelle Umleitung durch den Benutzer erforderlich), konfigurieren Sie Citrix Richtlinieneinstellungen und die Verbindungseinstellungen der Citrix Workspace App.

Führen Sie in den Citrix Richtlinieneinstellungen folgende Schritte aus:

  1. Fügen Sie die Client-USB-Geräteumleitung einer Richtlinie hinzu und stellen Sie den Wert auf Zugelassen ein.

    Abbildung der Client-USB-Geräteumleitung

  2. Optional: Zum Aktualisieren der Liste der zur Umleitung verfügbaren USB-Geräte fügen Sie die Einstellung Regeln für die Client-USB-Geräteumleitung einer Richtlinie hinzu und stellen Sie die USB-Richtlinienregeln ein.

    Gehen Sie in der Citrix Workspace-App folgendermaßen vor:

  3. Geben Sie an, dass Geräte automatisch, ohne manuelle Umleitung verbunden werden. Sie können eine administrative Vorlage verwenden oder die Einstellung unter “Citrix Workspace-App für Windows > Einstellungen > Verbindungen” festlegen.

    Abbildung der Registerkarte "Verbindungen"

Wenn Sie im vorigen Schritt die USB-Richtlinienregeln für den VDA festgelegt haben, geben Sie nun die gleichen Richtlinienregeln für die Citrix Workspace-App ein.

Informationen zur USB-Unterstützung Für Thin Clients und die erforderliche Konfiguration erhalten Sie vom Hersteller.

Konfigurieren der für die generische USB-Umleitung verfügbaren USB-Gerätetypen

USB-Geräte werden automatisch umgeleitet, wenn die USB-Unterstützung aktiviert ist und die USB-Einstellungen für eine automatische Verbindung der USB-Geräte konfiguriert wurden. USB-Geräte werden auch automatisch umgeleitet, wenn das Gerät im Modus “Desktop Appliance” ist und der Verbindungsbalken nicht angezeigt wird.

Die Benutzer können Geräte, die nicht automatisch umgeleitet werden, explizit umleiten, indem sie sie aus der USB-Geräteliste auswählen. Eine Anleitung hierzu enthält der Artikel zum Anzeigen von Geräten in Desktop Viewer in der Hilfe zur Citrix Workspace-App für Windows.

Abbildung der Registerkarte "Geräte"

Verwendung der generischen USB-Umleitung anstelle der optimierten Unterstützung:

  • Wählen Sie in der Citrix Workspace-App das USB-Gerät für die generische USB-Umleitung manuell aus und wählen Sie im Dialogfeld “Einstellungen” auf der Registerkarte “Geräte” die Option Zu allgemein wechseln.
  • Wählen Sie das USB-Gerät für die generische USB-Umleitung automatisch, indem Sie die automatische Umleitung für den entsprechenden USB-Gerätetyp konfigurieren (z. B. AutoRedirectStorage=1) und die USB-Benutzereinstellung auf die automatische Verbindung der USB-Geräte festlegen. Weitere Informationen finden Sie unter Configure automatic redirection of USB devices.

Hinweis

Konfigurieren Sie die generische USB-Umleitung für Webcams nur dann, wenn die Webcam nicht mit der HDX-Multimediaumleitung kompatibel ist.

Um zu verhindern, dass USB-Geräte je aufgeführt oder umgeleitet werden, können Sie für die Citrix Workspace-App und den VDA spezifische Regeln festlegen.

Für die generische USB-Umleitung benötigen Sie mindestens die USB-Geräteklasse und die Unterklasse. Nicht für alle USB-Geräte wird die Geräteklasse bzw. Unterklasse verwendet, die man vermuten würde. Beispiel:

  • Für Stifte wird die Klasse “Maus” verwendet.
  • Für Smartcardleser kann eine vom Hersteller definierte Klasse oder die Klasse “HID-Geräte” gelten.

Zur präziseren Steuerung müssen Sie außerdem die Hersteller-, Produkt- und Release-ID kennen. Sie erhalten diese Informationen beim Vertreiber des Geräts.

Wichtig

Manipulierte USB-Geräte können USB-Gerätemerkmale präsentieren, die nicht ihrer beabsichtigten Nutzung entsprechen. Geräteregeln sind nicht zur Verhinderung solcher Fälle vorgesehen.

Die für die generische USB-Umleitung verfügbaren USB-Geräte legen Sie über Regeln für die Client-USB-Geräteumleitung für den VDA und die Citrix Workspace-App fest, welche die USB-Standardrichtlinienregeln außer Kraft setzen.

VDA:

  • Bearbeiten Sie die Administrator-Überschreibungsregeln der Serverbetriebssystemmaschinen mit den Gruppenrichtlinienregeln. Die Gruppenrichtlinien-Verwaltungskonsole ist auf dem Installationsmedium enthalten:
    • Für x64: dvd root \os\lang\x64\Citrix Policy\ CitrixGroupPolicyManagement_x64.msi
    • Für x86: dvd root \os\lang\x86\Citrix Policy\ CitrixGroupPolicyManagement_x86.msi

Citrix Workspace-App für Windows:

  • Bearbeiten Sie die Benutzergeräteregistrierung. Eine administrative Vorlage (ADM-Datei) ist auf dem Installationsmedium enthalten, sodass Sie das Gerät über die Active Directory-Gruppenrichtlinie ändern können: dvd root \os\lang\Support\Configuration\icaclient_usb.adm.

Warnung

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und ein erneutes Installieren des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall eine Sicherungskopie der Registrierung, bevor Sie sie bearbeiten.

Die Produktstandardregeln sind in HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. Ändern Sie diese Produktstandardregeln nicht. Verwenden Sie sie als Anleitung zum Erstellen von Administrator-Überschreibungsregeln (siehe Erläuterungen weiter unten). Die GPO-Überschreibungen werden ausgewertet, bevor die Produktstandardregeln angewendet werden.

Die Administrator-Override-Regeln sind in HKLM\SOFTWARE\Citrix\PortICA\GenericUSB\DeviceRules gespeichert. GPO-Richtlinienregeln haben das Format “{Allow:`|`Deny:}” plus durch Leerzeichen getrennte Tag=Wert-Ausdrücke.

Die folgenden Tags werden unterstützt:

Etikett Beschreibung
VID Vendor-ID vom Gerätedeskriptor
PID Produkt-ID vom Gerätedeskriptor
REL Release-ID vom Gerätedeskriptor
Klasse Klasse vom Gerätedeskriptor oder einem Schnittstellendeskriptor; verfügbare USB-Klassencodes finden Sie auf der USB-Website unter http://www.usb.org/.
SubClass Unterklasse vom Gerätedeskriptor oder ein Schnittstellendeskriptor
Prot Protokoll vom Gerätedeskriptor oder ein Schnittstellendeskriptor

Wenn Sie Richtlinienregeln erstellen, beachten Sie Folgendes:

  • Bei Regeln wird die Groß- und Kleinschreibung nicht berücksichtigt.
  • Einer Regel kann optional ein Kommentar folgen, der mit # eingeleitet wird. Ein Trennzeichen ist nicht erforderlich, der Kommentar wird beim Abgleichen ignoriert.
  • Leere Zeilen und Kommentare werden ignoriert.
  • Leerzeichen dienen als Trennzeichen, sie können nicht in einer Zahl oder Kennung verwendet werden. Beispielsweise ist Deny: Class = 08 SubClass=05 eine gültige Regel, Deny: Class=0 Sub Class=05 hingegen nicht.
  • Tags müssen den Übereinstimmungsoperator = verwenden. Beispielsweise VID=1230.
  • Jede Regel muss auf einer neuen Zeile beginnen oder Teil einer durch Semikolon getrennten Liste sein.

Hinweis

Wenn Sie die ADM-Vorlagendatei verwenden, müssen Sie die Regeln in einer einzigen Zeile mit Semikolons getrennt eingeben.

Beispiele:

  • Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für Hersteller- und Produkt-IDs:

    Allow: VID=046D PID=C626 # Allow Logitech SpaceNavigator 3D Mouse Deny: VID=046D # Deny all Logitech products

  • Das folgende Beispiel zeigt eine vom Administrator definierte USB-Richtlinienregel für eine definierte Klasse, Unterklasse und ein Protokoll:

    Deny: Class=EF SubClass=01 Prot=01 # Deny MS Active Sync devices Allow: Class=EF SubClass=01 # Allow Sync devices Allow: Class=EF # Allow all USB-Miscellaneous devices

Verwenden und Entfernen von USB-Geräten

Benutzer können ein USB-Gerät vor oder nach dem Starten einer virtuellen Sitzung anschließen.

Wenn Sie mit der Citrix Workspace-App für Windows arbeiten, gilt Folgendes:

  • Geräte, die nach dem Sitzungsbeginn angeschlossen werden, werden unmittelbar im USB-Menü von Desktop Viewer angezeigt.
  • Wenn ein USB-Gerät nicht richtig umgeleitet wird, können Sie das Problem u. U. beheben, indem Sie das Gerät erst nach dem Beginn der virtuellen Sitzung anschließen.
  • Um Datenverlust zu verhindern, verwenden Sie das Windows-Symbol “Hardware sicher entfernen”, bevor Sie das USB-Gerät entfernen.

Steuerung der Sicherheit für USB-Massenspeichergeräte

Die optimierte Unterstützung steht für USB-Massenspeichergeräte zur Verfügung. Die Unterstützung ist Teil der Citrix Virtual Apps and Desktops-Clientlaufwerkzuordnung. Laufwerke auf Benutzergeräten werden automatisch Laufwerksbuchstaben auf dem virtuellen Desktop zugeordneten, wenn Benutzer sich anmelden. Die Laufwerke werden als freigegebene Ordner mit zugeordneten Laufwerksbuchstaben angezeigt. Verwenden Sie die Einstellung Clientwechseldatenträger, um die Clientlaufwerkzuordnung zu konfigurieren. Diese Einstellung befindet sich im Bereich Dateiumleitung der ICA-Richtlinieneinstellungen.

Für USB-Massenspeichergeräte können Sie die Clientlaufwerkzuordnung, die generische USB-Umleitung oder beides verwenden. Steuern Sie sie über Citrix Richtlinien. Die Hauptunterschiede sind folgende:

Feature Clientlaufwerkzuordnung Generische USB-Umleitung
Diese Option ist in der Standardeinstellung aktiviert. Ja Nein
Konfigurierbare Leserechte Ja Nein
Verschlüsselter Gerätezugriff Ja, wenn die Verschlüsselung vor dem Zugriff auf das Gerät entsperrt wird Ja
Sicheres Entfernen des Geräts in einer Sitzung Nein Ja, unter der Voraussetzung, dass Benutzer den Empfehlungen des Betriebssystems zum sicheren Entfernen von Geräten folgen.

Wenn die Richtlinien für die generische USB-Umleitung und die Clientlaufwerkzuordnung aktiviert sind und ein Massenspeichergerät vor oder nach dem Sitzungsstart angeschlossen wird, wird es mit der Clientlaufwerkzuordnung umgeleitet. Wenn die Richtlinien für die generische USB-Umleitung und die Clientlaufwerkzuordnung aktiviert sind, für ein Gerät die automatische Umleitung konfiguriert wurde und ein Massenspeichergerät vor oder nach dem Sitzungsstart angeschlossen wird, wird es mit der generischen USB-Umleitung umgeleitet. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX123015.

Hinweis

Die USB-Umleitung wird für Verbindungen mit geringer Bandbreite (z. B. 50 KBit/s) unterstützt. Das Kopieren großer Dateien funktioniert jedoch nicht.

Steuerung des Dateizugriffs bei der Clientlaufwerkzuordnung

Sie können steuern, ob Benutzer Dateien von ihren virtuellen Umgebungen auf ihre Benutzergeräte kopieren können. Standardmäßig ist in der Sitzung Lese-/Schreibzugriff auf Dateien und Ordner auf zugeordneten Clientlaufwerken möglich.

Um zu verhindern, dass Benutzer Dateien und Ordner auf zugeordneten Clientlaufwerken hinzufügen oder ändern, aktivieren Sie die Richtlinieneinstellung Schreibgeschützter Zugriff auf Clientlaufwerke. Wenn Sie diese Einstellung einer Richtlinie hinzufügen, müssen Sie die Einstellung “Clientlaufwerkumleitung” auf Zugelassen festlegen und zur Richtlinie hinzufügen.